DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

Zugegeben: Der Gastronomie-Sektor war bislang kein typischer Kunde für Datenschutzbeauftragte. Vielleicht ändert sich dies aber, wenn mit Corona die Gastwirte zunehmend zur Datenverarbeitung durch den Staat genötigt werden. Hier ein kleiner Guideline für Gastwirte, was Sie beim Anlegen von Gästelisten zu beachten haben.

Welche Daten sollen Gastwirte verarbeiten?

Die Bundesländer haben nach Art. 70 Abs. 1 GG die Gesetzgebungskompetenz im Bereich der Gaststätten. Im Rahmen von Verordnungen regulieren diese daher nun, unter welchen Voraussetzungen Gastbetriebe trotz der weiterhin herrschende Corona-Pandemie wieder öffnen dürfen. Folgende Themen werden u. a. reguliert:

  • Tragepflicht von Behelfsmasken und sonstige Mundbedeckungen
  • Abstandsregelungen innerhalb der Räumlichkeiten
  • Anzahl an Haushalten, die zusammen an einem Tisch sitzen dürfen
  • zulässige Öffnungszeiten.

Die oben aufgezählten Bereiche waren wohl vorherzusehen. Folgende Regelungen wie in § 2 Abs. 3 Corona-Gaststätten Verordnung Baden-Württemberg wird jedoch so manch einen Gaststättenbetreiber überrascht haben:

„Der Betreiber hat, ausschließlich zum Zweck der Auskunftserteilung gegenüber dem Gesundheitsamt oder der Ortspolizeibehörde nach §§ 16, 25 IfSG, die folgenden Daten bei den Gästen zu erheben und zu speichern:

  1. Name und Vorname des Gastes,
  2. Datum sowie Beginn und Ende des Besuchs, und
  3. Telefonnummer oder Adresse des Gastes.

Die Gäste dürfen die Gaststätte nur besuchen, wenn sie die Daten nach Satz 1 dem Betreiber vollständig und zutreffend zur Verfügung stellen. Diese Daten sind vom Betreiber vier Wochen nach Erhebung zu löschen. Die allgemeinen Bestimmungen über die Verarbeitung personenbezogener Daten bleiben unberührt.“

Ist die Datenerhebung verpflichtend oder freiwillig?

Die konkreten Regulierungen unterscheiden sich in den einzelnen Bundesländern erheblich (eine Übersicht finden Sie z.B. bei der DEHOGA). Manche Bundesländer haben unmissverständlich eine Pflicht zur Datenerhebung normiert, so z. B. Baden-Württemberg, Hamburg oder Hessen. Manche Bundesländer wie Brandenburg schweigen hierüber.

Und andere Bundesländern sind in ihrer Formulierung leider nicht ganz so eindeutig. So heißt es in § 9 Abs. 1 Nr. 1 Dritte Corona Verordnung des Landes Bremen:

„Die Betreiberin oder der Betreiber hat den Namen und die Kontaktdaten jedes Gastes sowie den Zeitpunkt des Betretens und Verlassens der Einrichtung zu dokumentieren und drei Wochen aufzubewahren; ein Gast darf nur bedient werden, wenn er mit der Dokumentation einverstanden ist;“

Ein Einverständnis suggeriert ja, dass der Gast eine Wahl hätte, sodass man von einer datenschutzrechtlichen Einwilligung als Rechtsgrundlage ausgehen könnte. Wenn die Bewirtung aber wiederum nur erfolgt, wenn der Gast zustimmt, dann hat man mit der Freiwilligkeit doch wieder seine Bauchschmerzen. Auch Bayern hat in seinem Hygiene-Konzept lediglich von einer Soll-Formulierung Gebrauch genommen, sodass auch hier ein gewisser Interpretationsspielraum besteht. Hier wären eindeutige Formulierungen für die Gastronomen sicherlich hilfreich.

Wie werden die Daten erhoben?

Leider hat es die Regierung versäumt, den Gastwirten neben diesen gesetzlichen Auflagen auch eine Guideline an die Hand zu geben, wie man diese Informationen datenschutzkonform verarbeitet. So sieht und liest man einige Umsetzungen, die für den Datenschützer das Haar in der Suppe sind.

Der Gastwirt denkt verständlicherweise pragmatisch und will eine schnelle Lösung dieser Aufgabe. Also druckt er sich eine Tabelle aus und legt diese aus, damit die Gäste selbständig ihre Daten eintragen können. Der Umwelt zuliebe möchte man natürlich Papier sparen und die Tabellen sind dann besonders lang, sodass 20 Gäste und mehr sich eintragen können.

Manch ein Gastwirt will den Papierberg gänzlich vermeiden und digital arbeiten. Also lässt er den Personalausweis von den Gästen mit einem Smartphone fotografieren, welches im Optimalfall ein separates Dienstgerät ist. So kann er auch sichergehen, dass die vom Gast angegebenen Daten korrekt sind.

Dem Gastwirt kann man hier aber keinen Vorwurf machen, denn woher sollte er dies wissen. Zwar schützt Unwissenheit grundsätzlich nicht vor Rechtsverfolgung. Allerdings kann man nicht erwarten, dass sich eine ganze Berufsgruppe von heute auf morgen über all die verschiedenen Problematiken eines Rechtsgebietes auseinandersetzt, mit dem es in der Vergangenheit sonst kaum Berührungspunkte hatte. Dem Gastwirt steht auch in der Regel kein Datenschutzbeauftragter, -koordinator oder sonstiger Jurist zur Verfügung, der für ihn schnell die rechtlich zulässigen Handlungsmöglichkeiten ermitteln kann.

Insoweit wäre es wünschenswert gewesen, wenn alle Bundesländer an dieser Stelle ihre Pflicht zur Aufklärung erkannt und entsprechende Informationen zur Verfügung gestellt hätte. Bisweilen gibt es von den Aufsichtsbehörden nur Handreichungen und Hinweise in folgenden Bundesländern:

  • Hamburg (Unter dem Punkt: Verarbeitung personenbezogener Covid-19-Daten durch den stationären Handel und Unternehmen mit Publikumsverkehr)
  • Hessen
  • Mecklenburg-Vorpommern (Unter dem Punkt: Cafés, Restaurants und weitere Gastronomiebetriebe)
  • Niedersachsen
  • Nordrhein Westfalen
  • Rheinland-Pfalz (Unter dem Punkt: Was haben Gaststättenbetreiber und ähnliche Betriebe bei der Wiederöffnung datenschutzrechtlich zu beachten?)
  • Saarland
  • Schleswig-Holstein

Grundsätzlich sollten sich Betriebe zunächst nach den Handreichungen ihrer zuständigen Aufsichtsbehörde richten.

Was gilt es bei den Gästelisten zu beachten?

Der nachfolgende Guideline soll allen Gastwirten helfen, deren Aufsichtsbehörde keine konkreten Vorgaben gemacht haben, ihren Verarbeitungsprozess kritisch überprüfen zu können und datenschutzkonform zu gestalten:

1. Erhebe nur so viele Informationen, wie dies gesetzlich gefordert ist

Die Grundsätze der Zweckbindung und Datenminimierung aus Art. 5 Abs. 1 DSGVO sind wesentliche Säulen im Datenschutzrecht. Die einzelnen Verordnungen der Bundesländer benennen konkret, welche Informationen die Gastwirte erheben müssen. Diese legitimieren die Datenerhebung, sodass Art. 6 Abs. 1 S. 1 lit. c DSGVO als Rechtsgrundlage grundsätzlich greift. Wenn der Gastwirt noch weitere Informationen zu eigenen Zwecken erhebt, muss er dies dem Gast kenntlich machen und auch eine separate Rechtsgrundlage hierfür aufweisen (z. B. Einwilligung oder überwiegend berechtigte Interessen). Andernfalls bewegt sich der Wirt sehr schnell im rechtswidrigen Bereich.

2. Reservierungen können die Datenerfassung erleichtern

Soweit Gäste ihren Restaurantbesuch im Voraus reservieren, können hier schon die Daten erhoben werden, umso Zeit vor Ort zu sparen. Insbesondere über Buchungsapps oder über Webformulare, die in der eigenen Webseite integriert sind, kann dieser Arbeitsschritt digital erfasst werden und so wertvolle Zeit des eigenen Personals eingespart werden. Falls Gastwirte diese digitale Arbeitserleichterung noch nicht für sich entdeckt haben, lohnt sich jetzt auf jeden Fall ein zweiter Blick darauf. Allerdings müssen auch hier die technische Lösung und insbesondere der Drittanbieter sorgfältig ausgewählt werden. Folgende Kriterien gilt es u. a. zu prüfen:

  • Ist die Datenübermittlung durch eine Ende-zu-Ende Verschlüsselung geschützt?
  • Wo werden die Daten gespeichert?
  • Behält sich der Drittanbieter eine eigene Nutzung der Daten vor (insbesondere eine Weitergabe der Daten an Dritte)?
  • Wie lange werden die Daten gespeichert?

3. Vorzeigen des Personalausweises ist okay, Fotokopien anlegen grundsätzlich nicht

Früher hat so manch ein Gast gerne unter einem Pseudonym seinen Platz reserviert. Damit der Wirt seine gesetzliche Pflicht erfüllen kann, muss er aber nun die wahre Identität seiner Gäste erfragen. Hierzu kann er sich auch den Personalausweis vorlegen lassen. Aber Vorsicht beim Fotografieren! Der Personalausweis enthält eine Reihe weiterer Informationen, die der Wirt nicht benötigt, sodass deren Verarbeitung datenschutzrechtlich problematisch ist (siehe auch den Beitrag zum Personalausweis). Es sollte daher gänzlich von Fotokopien der Personalausweise abgesehen werden.

Wenn man hierauf nicht verzichten will, dann ist einerseits mit Hilfe einer Schablone, die man über den Ausweis legt, zu gewährleisten, dass nur die erforderlichen Informationen erfasst werden. Andererseits sollten die Fotografien nicht mit einem privaten Smartphone o. Ä. erhoben und gespeichert werden.

4. Schütze die Informationen vor unberechtigten Zugriffen

Das Auslegen einer auszufüllenden Tabelle birgt zweierlei Risiken. Einerseits ist der eingesetzte Kugelschreiber ein ideales Übertragungsmedium für den Corona-Virus und müsste daher nach jeder Benutzung desinfiziert werden. Andererseits erhalten die nachfolgenden Gäste in unberechtigter Weise Zugang zu den Informationen der vorherigen Gäste. Im schlimmsten Falle fotografieren sie diese Liste und nutzen die Kontaktdaten zu eigenen Zwecken aus.

Der Gastwirt trägt die Pflicht dafür Sorge zu tragen, dass sowas nicht passiert und muss daher entsprechende Vorkehrungen treffen. Wenn die Gäste ihre Informationen in einer langen Tabelle eintragen, dann darf diese Sammeltabelle nicht unbewacht herumliegen. Ein Mitarbeiter sollte insoweit die Aufsicht übernehmen, um ggf. eingreifen zu können. Noch besser ist es, wenn die Mitarbeiter selber die Gästelisten führen.

Auch innerhalb der Organisation ist zu prüfen, wie und wo die Gästelisten aufbewahrt werden und welche Mitarbeiter Zugang zu denen haben sollten.

5. Erstelle ein Informationsblatt für die Gäste

Der Gastwirt muss auch hier seine Informationspflichten aus Art. 12 ff. DSGVO erfüllen. Hierzu bietet sich die Erstellung eines Informationsblattes an, welches zentral an der Bartheke oder an einem anderen für den Gast leicht einsehbaren Bereich ausliegt, sodass diese jederzeit nachlesen können. Wenn das Informationsblatt laminiert wird, kann es besonders lange verwendet werden. Folgende Fragen sollten beantwortet werden:

  • Welche Daten werden erhoben?
  • Warum werden diese Daten erhoben?
  • Wie lange werden diese Daten gespeichert?
  • Welche Rechte haben die Gäste als betroffenen Personen?

Soweit ein Restaurant über eine Webseite verfügt, sollte insbesondere die letzte Frage bereits in der Datenschutzerklärung beantwortet sein, sodass deren Text an dieser Stelle übernommen werden kann. (Unterstützung bei dem Erstellen der Datenschutzhinweise bietet z.B. der Datenschutz Generator des Kollegen Thomas Schwenke) Hinsichtlich der zweiten Frage kann ein Gastwirt dies leicht beantworten, wenn er in der jeweils für ihn geltenden Verordnung eine Pflicht zur Datenerhebung normiert ist. Dann kann er diese konkrete Verordnung benennen und klarstellen, dass er lediglich seine gesetzliche Pflicht erfüllt.

Wenn sich aus der Verordnung selbst keine Pflicht ergibt, kann der Wirt möglicherweise berechtigte Interessen haben, bei der Kontaktpersonenermittlung im Falle einer Infektion mitzuwirken. Hier müsste allerdings eine Interessenabwägung erfolgen und auch entsprechend intern dokumentiert. Für den Wirt ist es an dieser Stelle einfacher und rechtlich sicherer, die Datenerhebung in diesem Falle nur auf freiwilliger Basis einer Einwilligung zu stützen.

6. Entwickle Routinen für das Löschen der Daten

In den Verordnungen sind die Aufbewahrungsfristen von ca. vier Wochen grundsätzlich genannt. Selbst wenn nicht, kann man sich an die Festlegungen der anderen Bundesländer orientieren. Diese Festlegung rührt von der Inkubationszeit her. Nach Ablauf dieser vier Wochen besteht keine Gefahr der Ansteckung mehr. Wenn man diese erhobenen Informationen nach dem Datum sortiert ablegt, behält man leicht den Überblick und man kann schnell sowie routiniert die Löschung vornehmen.

7. Entsorge die Gästelisten nicht unachtsam

Insbesondere wenn man Listen in Papierform führt, ist es ein No-Go, diese einfach achtlos in die Papiertonne zu werfen. Ein Dritter kann diese Gästelisten Leichtens aus der Tonne fischen und die Daten rechtswidrig verwenden. Man sollte sie wenigstens vorab schreddern. Da diese Daten keinen hohen Schutzbedarf unterliegen, ist die Entsorgung über eine Datenschutztonne zwar wünschenswert, aber nicht erforderlich. Die Anmietung einer solchen Tonne ist wohl nur dann sinnvoll, wenn man sie sich mit benachbarten Gastronomiebetrieben teilen und insoweit die Kosten aufteilen kann.

Wenn die Gästelisten digital gespeichert sind, ist daran zu denken, dass die typische Form des Löschens in Form des „in den Papierkorb verschieben“ keine datenschutzkonforme darstellt. Solche Dateien können durch bloß einen Klick wiederhergestellt werden. Dieser digitale Papierkorb ist daher zumindest ebenfalls „zu leeren“.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie.

Vielleicht ist ein externer Datenschutzbeauftragter doch die bessere Idee? Gerichte äußern sich zur Position des Datenschutzbeauftragten

Haben Sie einen internern DSB? Dann lesen Sie unbedingt diesen Artikel…

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Gerichte äußern sich zur Position des Datenschutzbeauftragten

Gerichte äußern sich zur Position des Datenschutzbeauftragten

Die Auswahl des Datenschutzbeauftragten im Unternehmen ist kein leichtes Unterfangen. Die gesetzlichen Anforderungen an einen Datenschutzbeauftragten wurden durch die Gerichte jüngst konkretisiert. Auch zur Kündigung eines Datenschutzbeauftragten gibt es Neuigkeiten.

Wer eignet sich als Datenschutzbeauftragter?

Mit einer Entscheidung vom LAG Rostock (Urteil v. 25.02.2020 – Az.: 5 Sa 108/19) konkretisiert das Gericht, welche Qualifikationen ein Datenschutzbeauftragter vorweisen muss. Geklagt hatte ein Volljurist, der bei der Beklagten als interner Datenschutzbeauftragter beschäftigt war. Der Kläger wurde gekündigt, weil die Beklagte der Meinung war, dem Kläger fehle die geeignete Sachkunde.

Gesetzliche Anforderungen

Nach der DSGVO wird ein Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt, sowie auf der Grundlage seiner Fähigkeiten zur Erfüllung seiner Aufgaben (Art. 37 Abs. 5 DSGVO). Die Vorschrift lässt Interpretationsspielraum, bspw. inwieweit eine bestimmte berufliche Qualifikation erforderlich ist.

Entscheidung des LAG Rostocks

Das LAG Rostock betont, dass die erforderliche Sachkunde sich nach Art und Umfang der Tätigkeit richte, wie etwa die Größe des zu betreuenden Unternehmens, die Menge an Datenverarbeitungsvorgängen und eingesetzten IT-Verfahren sowie die Sensibilität der Daten. Zudem könne der Datenschutzbeauftragte auch auf fachkundige Mitarbeiter zurückgreifen, wenn er nur in einem Teilbereich über eigene Qualifikationen verfüge. Fortbildungen seien unerlässlich, um auf dem aktuellen Stand der Entwicklungen zu bleiben.

Neben der Sachkunde müsse ein Datenschutzbeauftragter auch die notwendige Zuverlässigkeit gewähren. Diese könnte durch schwerwiegende Verletzungen arbeitsvertraglicher Pflichten gestört werden.

Datenschutzbeauftragter ist nicht gleich Datenschutzbeauftragter

Die Entscheidung des Gerichts lehnt an Erwägungsgrund 97 der DSGVO an. Hiernach richtet sich das erforderliche Niveau des Fachwissens, insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die verarbeiteten personenbezogenen Daten. Grundsätzlich leuchtet es ein, dass die Sachkunde nach Art und Umfang der Tätigkeit zu bemessen ist. Dennoch gibt es in der Praxis erhebliche Unterschiede, gerade im Hinblick auf die Qualifikationen des Datenschutzbeauftragten. Fachliche Mängel können zu verheerenden Konsequenzen führen. Zumindest gewisse Mindestanforderungen würden helfen das Qualitätsniveau ein Stück weit anzugleichen.

Besonderer gesetzlicher Kündigungsschutz des Datenschutzbeauftragten

Die Wahl des Datenschutzbeauftragten sollte letztendlich auch gut überlegt sein, weil ein einst ernannter Datenschutzbeauftragter ziemlich fest im Sattel sitzt.

LAG Nürnberg hält Sonderkündigungsschutz für DSGVO-konform

Nach nationalem Recht genießt der Datenschutzbeauftragte ein Sonderkündigungsschutzrecht, wonach er nur bei Vorliegen eines wichtigen Grundes gekündigt werden kann (§§ 38 Abs. 2, 6 Abs. 4 S.2 BDSG). Die Parteien stritten vor dem LAG Nürnberg (Urteil v. 19.02.2020 – Az.: 2 Sa 274/19) darüber, ob das nationale Sonderkündigungsschutzrecht mit der DSGVO vereinbar sei.

Keine Öffnungsklausel in der DSGVO

Grundsätzlich bedarf es einer Öffnungsklausel in der DSGVO, damit der nationale Gesetzgeber tätig werden darf. Eine solche Öffnungsklausel zur Reglung des besonderen Kündigungsschutzes für den Datenschutzbeauftragten liegt nicht vor.

Arbeitsrechtsspezifische Regelungen nicht durch die DSGVO ausgeschlossen

Allerdings geht das LAG Nürnberg davon aus, dass die DSGVO keine abschließenden Regelungen für das Arbeitsverhältnis eines Datenschutzbeauftragten treffe. Grundsätzlich dürfe der nationale Gesetzgeber arbeitsrechtliche Regelungen für den Datenschutzbeauftragten treffen, wenn der Schutz der DSGVO dahinter nicht zurückbleibt. Denn der arbeitsrechtliche Bereich wird von der EU durch Erlass von Richtlinien bestimmt (Art. 153 Abs. 2 AEUV).

In Art. 38 DSGVO werde die Stellung des Datenschutzbeauftragten nur allgemein normiert. Der in der Vorschrift gewährleistete Abberufung – und Benachteiligungsschutz für den Datenschutzbeauftragten, würde nicht durch die nationale Reglung zum Sonderkündigungsschutz beeinträchtigt werden.

Eine endgültige Klärung der DSGVO-Konformität steht noch aus. Gegen die Entscheidung wurde Revision eingelegt.

Ausnahmefall vom Sonderkündigungsschutz: freiwilliger Datenschutzbeauftragter

Eine wichtige Ausnahme vom Sonderkündigungsschutzrecht besteht insofern, dass dieses Recht nicht für den freiwilligen Datenschutzbeauftragten gilt. Der entscheidende Zeitpunkt für die Feststellung, ob es sich um einen freiwilligen Datenschutzbeauftragten handelt oder nicht, ist der Zeitpunkt der Zugang der Kündigung (BAG Urteil v. 5. Dezember 2019 – Az.: 2 AZR 223/19). Dies ist insbesondere im Hinblick auf die Anpassung des Schwellenwerts für die Bestellung eines Datenschutzbeauftragten wichtig. Nach der Gesetzesanpassung besteht seit November 2019 erst bei 20 Mitarbeitern eine zwingende Pflicht zur Bestellung eines Datenschutzbeauftragten.

Immer noch Klärungsbedarf

Wie es auch bei vielen anderen Bereichen im Datenschutzrecht zu beobachten ist, ist das letzte Wort im Hinblick auf den im BDSG geregelte Sonderkündigungsschutz für den Datenschutzbeauftragten noch nicht gesprochen. Ebenfalls das Urteil des LAG Rostock zur Eignung eines Datenschutzbeauftragten sorgt nur sehr bedingt für mehr Klarheit.

Im Gesetzgebungsverfahren zur DSGVO wurde der Entwurf des EU Parlaments mit Anforderungen an die Mindestqualifikationen an einen Datenschutzbeauftragten nicht umgesetzt. Ob und inwieweit Gerichte gewollt sind durch weitere Urteile eine gewisse Mindestqualifikation festzulegen, bleibt abzuwarten.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Gerichte äußern sich zur Position des Datenschutzbeauftragten.

Zweites Pandemiegesetz: Kein Datenschutz für Gesunde

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Zweites Pandemiegesetz: Kein Datenschutz für Gesunde

Zweites Pandemiegesetz: Kein Datenschutz für Gesunde

Man könnte ihn schon fast als episch, als legendär bezeichnen – den Kampf der Giganten, den des Bundesdatenschutzbeauftragten Ulrich Kelber gegen abstruse, den Datenschutz missachtende Gesetzesvorhaben der Bundesregierung. Aktuell ist es wieder so weit: Der Entwurf zum zweiten Pandemiegesetz wurde heute schleunigst durch den Bundestag gemogelt. Trotz gravierender datenschutzrechtlicher Bedenken stießen Herrn Prof. Kelbers mahnende Worte auf taube Ohren.

Gesund oder infiziert – egal, Hauptsache überwacht!

Innerhalb des Corona-Maßnahmen-Dschungels verliert man leicht den Überblick: Ob Tracing-App, Immunitätspass, Ausgangs- oder Kontaktbeschränkungen – all dies wird diskutiert, hin und her, bis auch der Letzte mögliche Zweifel aufgibt und „die da Oben“ aus Resignation einfach gewähren lässt. Die Maßnahmen werden häufig nicht mehr hinterfragt, und wenn doch, dann mit seltsamen Verschwörungstheorien verknüpft. Berechtigte, völlig legitime juristische Kritik geht dabei unter, verbinden viele mit Corona-Kritik doch nur noch wahnhafte Reptiloiden- oder Bill Gates-Theorien.

Abseits haarsträubender Verdächtigungen liegen die wahren Probleme: Corona-Maßnahmen, wie der aktuelle, heute vom Bundestag beschlossene Entwurf zum zweiten Pandemiegesetz, werden unreflektiert verabschiedet, ohne diese verfassungs- und datenschutzrechtlich eingehender zu prüfen. Ganz nach dem Motto, nach mir die Sintflut – erstmal muss das Virus weg!

Wo ist das Problem? Nun, Bundesgesundheitsminister Jens Spahn fischt erneut in trüben Datenschutz-Gewässern, das Gesetz umfasst nämlich eine Meldepflicht für Nicht-Infizierte – Schuster, bleib bei deinen Leisten! Die Labore müssen nach Inkrafttreten des Gesetzes auch Daten von negativ Getesteten an die Gesundheitsämter weiterleiten. Dazu gehören personenbezogene Daten wie Geschlecht, Geburtsmonat und -jahr, Wohnort, Untersuchungsbefunde und der Grund der Untersuchung. Pseudonymisiert – aber nicht anonymisiert! – werden Name sowie Geburtstag.

Trotz erheblicher rechtlicher Bedenken, vorgetragen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Herrn Prof. Ulrich Kelber – einer Koryphäe auf seinem Gebiet – wurde das Gesetz im Eiltempo durch das Parlament gebracht. Schon morgen soll sich der Bundesrat dazu äußern. Bahn frei, mit Vollgas gegen die Wand?

Datenschutzrechtlich eine Katastrophe

Die Stellungnahme Herrn Prof. Kelbers zum „Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ zieht ein vernichtendes Fazit: In aller Deutlichkeit betont der Bundesdatenschutzbeauftragte, dass der Eingriff in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG unverhältnismäßig und daher verfassungswidrig ist.

„Die Ausführungen in der Begründung lassen nicht ansatzweise erkennen, auf welcher Grundlage hier in die Grundrechte einer eklatanten Anzahl von Betroffenen eingegriffen werden soll. Die dürftigen Angaben in der Begründung deuten darauf hin, dass eine rein statistische Erfassung den Zweck ebenso erfüllen würde. Eine Abwägung mit dem Persönlichkeitsrecht der Bürgerinnen und Bürger findet nicht statt. Offenbar wird hier verkannt, dass nach der Datenschutz-Grundverordnung auch bei Pseudonymisierung datenschutzrechtliche Maßgaben zu berücksichtigen sind… Eine generelle, bundesweite Meldepflicht für Nicht-Infizierte… ist nicht gerechtfertigt.“

Laut Herrn Prof. Kelber begegne die Regierung ihrer eigenen Corona-bedingten Unsicherheit, indem sie die umfassende Erhebung personenbezogener Gesundheitsdaten verlange – dabei lasse der Gesetzesentwurf jedoch das nötige Augenmaß vermissen.

Gesundheitsdaten sind äußerst sensibel und nicht ohne Grund Teil der besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Diese Daten dürfen nur in Ausnahmefällen verarbeitet werden, Art. 9 Abs. 2 DSGVO.

Ist ein solcher Ausnahmefall gegeben? Kurz gesagt: Nein. In Betracht käme Art. 9 Abs. 2 lit. i DSGVO, wenn

„die Verarbeitung… aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedsstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person… vorsieht, erforderlich [ist]“

Bedenken Sie: Die nach dem neuen Gesetz betroffenen Personen sind nicht krank. Die Übermittlung ihrer Daten schützt niemanden vor der Infektion. Die Zweifel des Bundesdatenschutzbeauftragten sind berechtigt: Inwiefern ist es erforderlich, von nicht-infizierten Personen Daten zu erheben? Von diesen geht keine Gefahr aus, die Gesundheitsämter erlangen keinerlei Mehrwert – lediglich einen ganzen Pool sensibler Daten, mit denen sie tun und lassen können, was sie wollen. Warum dabei ausgerechnet die Datensammelinteressen der Gesundheitsämter das Recht der Betroffenen auf informationelle Selbstbestimmung überwiegen sollten, ist ebenfalls unklar. Die betroffenen Personen sind gesund – weshalb hat da die Behörde mitzumischen?

Vom sagenumwobenen Datenschutz scheinen nur wenige Politiker je gehört zu haben. Aus Sicht der Bundesregierung halb so wild! Wie sonst ist es zu erklären, dass man über ein solch schwerwiegendes Gesetz abstimmen kann, ohne auch nur die geringste Ahnung darüber zu haben, dass es einen Unterschied zwischen Pseudonymisierung und Anonymisierung gibt? Sind personenbezogene Daten pseudonymisiert, ist – wenn auch über Umwege – feststellbar, wer dahintersteckt. Die DSGVO erstreckt sich damit auch auf pseudonymisierte Daten. Wieso eine rein statistische Erfassung nicht ausreicht, weiß der Kuckuck. Aber auch nur, wenn er Politiker ist.

Wie die Lemminge…

Corona schürt tiefsitzende Ängste in jedem von uns. Das ist jedoch keine Entschuldigung dafür, panisch sämtliche datenschutz- und verfassungsrechtlichen Prinzipien über Bord zu werfen, zu fliehen und sich ins Verderben zu stürzen. Bei den Politikern, die heute für Herrn Spahns Gesetzesentwurf gestimmt haben, dürfte genau das zutreffen: Um sich nicht vorwerfen lassen zu müssen, in der Krise untätig herumgesessen zu haben, trafen sie eine folgenreiche Entscheidung.

Von Verfassungsrecht keine Ahnung

Fakt ist, die Befürworter des Gesetzes im Bundestag ignorierten den Datenschutzverstoß, manche von ihnen nahmen ihn vielleicht auch gar nicht zur Kenntnis. Besorgniserregend, handelt es sich doch um unser aller Grundrechte!

Das zweite Pandemiegesetz ist nicht nur datenschutzrechtlich äußerst bedenklich, Verfassungsrechtlern dürften ebenfalls die Haare zu Berge stehen. Christine Aschenberg-Dugnus (FDP) sprach von im Gesetz enthaltenen „Blankoermächtigungen“ für das Bundesgesundheitsministerium. Dr. Kirsten Kappert-Gonther (Grüne) merkte an, die pandemische Krise dürfe nicht zu einer Demokratiekrise werden. Gruselig, nicht wahr?

Gegen die Stimmen der Koalition kam die Opposition nicht an. Hausarzt und CSU-Politiker Stephan Pilsinger verwies darauf, nicht die, die Leib und Leben schützen wollten, verstießen gegen die Verfassung, sondern diejenigen, die das Ableben leichtfertig in Kauf nähmen. Klar, weil der Schutz von Leib und Leben ja einfach alles rechtfertigt – ganz große Klasse!

Wie war das nochmal…?

Während der heutigen Bundestagssitzung hätte die Bundesjustizministerin, Frau Christine Lambrecht (SPD) ein Zeichen setzen können – ist es doch Aufgabe des Bundesjustizministeriums Gesetzesentwürfe rechtlich zu prüfen und wenn notwendig, zu widersprechen.

In ihrem vor kurzem erschienenen FAZ-Gastbeitrag betonte sie noch, dass Rechtsstaat und Demokratie auch in dieser Krise aufrechterhalten würden. Corona-Maßnahmen träfe man in gründlicher Abwägung und voller Transparenz. Oberste Maxime sei der Grundsatz der Verhältnismäßigkeit.

Leider scheint das Gegenteil der Fall zu sein.

„Spahnsinn“ ohne Ende

Und wie geht es weiter? Der Bundesrat wird das Gesetz wahrscheinlich billigen. Herr Spahn hat gesiegt – Koste es, was es wolle. Fleißig wie unser Bundesgesundheitsminister nun einmal ist, dürfte die nächste Datenschutz-Katastrophe nicht lange auf sich warten lassen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Zweites Pandemiegesetz: Kein Datenschutz für Gesunde.

Datenschutz(v)erklärungen auf Streaming-Plattformen

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Datenschutz(v)erklärungen auf Streaming-Plattformen

Datenschutz(v)erklärungen auf Streaming-Plattformen

Was haben der Tiger King und Datenschutzerklärungen von Streaming-Plattformen gemeinsam? Auf den ersten Blick nicht viel. Doch weit gefehlt, beide hinterlassen zuverlässig eine tiefgreifende Verwirrung.

Albtraum einer Couch Potato

Vielleicht haben Sie sich auch schon mal gefragt, was eigentlich im Hintergrund passiert, wenn Sie gemütlich auf der Couch liegt und Netflix schauen.

Das haben sich jedenfalls die Arbeiterkammer „AK“ und der Datenschutzverein „NOYB“ aus Österreich gefragt. Schließlich sind Streaming-Plattformen wahre Goldgruben für Datenauswertungen. Anders als beim guten alten Fernseher oder Radio, werden Seh- und Hörgewohnheiten minutiös erfasst.

Dafür haben sie die Datenschutzerklärungen der acht beliebtesten Streamingdienste untersucht: Amazon Prime, Apple Music, DAZN, Flimmit, Netflix, SoundCloud, Spotify und YouTube.

Nur haben die Datenschutzerklärungen mehr Fragen als Antworten aufgeworfen. Keine Spur einer Erklärung, wie die maßgeschneiderten Empfehlungen gegeben werden. Eine Empfehlung am Rande: Wenn Sie von Tiger King & Co. zu aufgerüttelt sind, um direkt einzuschlafen, lesen Sie als Gegenmittel eine Datenschutzerklärung. Das Wirkung tritt in der Regel innerhalb weniger Sekunden ein.

Befähigung zur Selbstbestimmung (Theorie)

Verantwortliche, hier die Betreiber der Streaming-Dienste, sind nach der DSGVO verpflichtet, den Nutzern Informationen zur Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung zu stellen.

Durch die Information zur Existenz der Verarbeitungsvorgänge und deren Zwecken soll eine faire und transparente Verarbeitung gewährleistet werden. Das hehre Ziel: Der Nutzer soll so zur inneren Selbstbestimmung befähigt werden und entscheiden können, ob er die Datenerhebung erlauben oder sonst zu ihr beitragen will.

Verwirrung (Realität)

Die Nutzer werden durch keine der Datenschutzerklärungen wirklich transparent informiert. Was mit den Daten geschieht, bleibt im Dunkeln. Die AK und das NOYB bemängeln (fast) alles an den Datenschutzerklärungen. Es geht los bei fehlenden Kontaktdetails und endet bei fehlenden Zweckangaben. Etwas salopp gesagt, kann man sich viele der Datenschutzerklärungen in der derzeitigen Form sparen. Wir wollen auf einzelne Befunde des Berichts eingehen. Eine Tabelle mit einer Übersicht der Ergebnisse finden Sie auf Seite 9.

Wahllose Zwecke, Rechtsgrundlagen und Datenkategorien

Zwecke werden häufig nur beispielhaft aufgezählt und sind daher zu unbestimmt. Mangels der Verknüpfung der Zwecke mit Rechtsgrundlagen kann sich der Nutzer auch kein Bild von der Rechtmäßigkeit machen. So heißt es bei Amazon Prime

„zu diesen Zwecken zählen: Kauf und Lieferung von Produkten und Dienstleistungen, Bereitstellung, Fehlerbehebung und Verbesserung der Amazon Services, Empfehlungen und Personalisierung, Bereitstellung von Sprachdiensten, Einhaltung rechtlicher Verpflichtungen, Kommunikation mit Ihnen, Anzeigen, Betrugsprävention und Kreditrisiken, Zwecke, für die wir Ihre Einwilligung einholen.“

Zu den Rechtsgrundlagen heißt es nur:

„in bestimmten Fällen unterliegen wir rechtlichen Verpflichtungen, Ihre persönlichen Informationen zu erheben und zu verarbeiten“, und: „eventuell bitten wir Sie um Ihre Einwilligung, Ihre persönlichen Informationen zu einem bestimmten Zweck zu verarbeiten, den wir Ihnen mitteilen werden“.

Man könnte anders herum auch formulieren. Wir verarbeiten ihre Daten für eine unbestimmte Anzahl an Zwecke. Nach dem Motto: Nenne alle möglichen Zwecke und du kannst tun und lassen was du willst. Irgendein Zweck wird schon passen. So wird der Zweckbindungsgrundsatz unterlaufen. Zudem bekommen Nutzer den Eindruck, dass die Verarbeitung sämtlicher personenbezogenen Daten auf alle Rechtsgrundlagen gestützt werden könnte.

Nebulöse Empfänger

Die Datenschutzerklärungen enthalten häufig keine Einschränkungen, welche Kategorien von Daten geteilt werden. Empfänger werden nur sehr unbestimmt genannt. Durch die unbestimmten Angaben wird der Eindruck erweckt, dass alle personenbezogenen Daten weitergegeben werden können.

Bei Youtube heißt es, dass personenbezogene Daten in den folgenden Fällen weitergegeben werden:

„mit Einwilligung der Nutzer, an Domain-Administratoren, mit verbundenen und nicht-verbundenen Unternehmen oder Personen, wie z.B. Dienstleistern, zur externen Verarbeitung und aus rechtlichen Gründen.“

Aha, mmh, was habe ich da eigentlich gerade gelesen? Keine Sorge, auch nach mehrmaliger Lektüre ist man nicht viel schlauer. In einem Wettbewerb „sage etwas sagen, ohne etwas zu sagen“ würde die Erklärungen einen der oberen Ränge belegen.

Amazon wiederum macht widersprüchliche Angaben. So wird erklärt, dass personenbezogene Daten nur an Amazon.com, Inc. und seine Tochtergesellschaften weitergegeben werden. Gleichzeitig erklärt Amazon, dass personenbezogene Daten für bestimmte Zwecke, wie „Transaktionen mit Dritten, Drittdienstleister“, an Dritte weitergegeben werden.

Unbestimmte Speicherdauer

Die Speicherdauer wird meistens nicht konkretisiert. Auch eine Bestimmung anhand von Kriterien ist häufig ebenso nicht möglich.

Bei Amazon Prime heißt es:

„Wir speichern Ihre Informationen solange, wie dies erforderlich ist, um die in dieser Datenschutzerklärung beschriebenen Zwecke zu erfüllen oder wie dies gesetzlich vorgeschrieben wird, z.B. für Steuer-und Buchhaltungszwecke.“

Dumm nur, dass die Zwecke nur beispielhaft aufgezählt werden und keine Verknüpfung der Datenkategorien mit Zwecken stattfindet, sodass der Nutzer überhaupt nicht weiß für welche Zwecke welche Daten genau verarbeitet werden.

Die Datenschutzerklärung von Netflix gibt im Grunde das Gesetz wieder:

„Wir können Informationen, wie gemäß geltenden Gesetzen und Bestimmungen erforderlich oder zugelassen, einschließlich unter Einbeziehung Ihrer Auswahl, zu Zwecken der Rechnungsstellung oder Buchführung und um den Zwecken dieser Datenschutzerklärung nachzukommen, speichern.“

Empfehlungen wie von Geisterhand

Wir alle kennen die Empfehlungen auf Streaming-Plattformen. Viele lassen sich davon leiten. Die Datenschutzerklärungen enthalten hierzu aber keine Informationen, obwohl die DSGVO bei automatisierter Entscheidungsfindung aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person fordert.

Apple behauptet sogar, dass

„keinerlei Entscheidungen unter Zuhilfenahme von Algorithmen oder Profiling mit erheblichen Auswirkungen für Sie”

getroffen werden. In der Apple-Music-Datenschutzerklärung heißt es dann aber:

„Wenn du Apple Music verwendest, erfassen wir Informationen über die Titel und Videos, die du abspielst oder zu deiner Musikmediathek oder deinen Playlists hinzufügst, sowie Inhalte, die du als Favorit wählst, kommentierst oder teilst.“

„Wir nutzen diese Daten, um dein Apple Music-Erlebnis individuell an dich anzupassen. Außerdem möchten wir genauer verstehen, auf welche Art und Weise Apple Music verwendet wird, damit wir es verbessern können.”

„Zudem können wir dir Vorschläge machen, die deinen Geschmack treffen.“

Hier ist eine Profilerstellung mittels automatisierter Profilerstellung wahrscheinlich.

Auch Netflix erklärt nicht klar und deutlich, dass automatisierte individuelle Entscheidungen getroffen werden. Man kann nur mittelbar darauf schließen, z.B. wegen der Zwecke der

„Bereitstellung von speziell auf Sie abgestimmten Empfehlungen für Filme und Serien, die Ihnen unsere Meinung gefallen nach könnten“

und die Optimierung von

„Empfehlungsalgorithmen und die Darstellung“.

Das gleiche gilt für Amazon Prime. Auch hier lässt sich nur mittelbar auf den Einsatz von Algorithmen schließen, z.B. durch den Zweck „Empfehlungen und Personalisierung“:

„Wir verarbeiten Ihre persönlichen Informationen, um Funktionen, Produkte und Dienstleistungen zu empfehlen, die für Sie von Interesse sein könnten, um Ihre Präferenzen zu ermitteln und Ihre Erfahrungen mit Amazon Services zu personalisieren“

Solche Profile werden in der Regel mittels Algorithmen erstellt. Diese Information ist aber auch unvollständig, weil Amazon die Logik hinter den Empfehlungen und der Personalisierung nicht erklärt.

Zum Wegklicken

Nun sagen Sie vielleicht, ist doch alles halb so schlimm. Die Datenschutzerklärungen liest ja eh niemand. Es sind halt die AGBs der Datenschutzwelt. Doch hier stellt sich die Frage nach dem Ei und der Henne. Was war zuerst da? Das Desinteresse der Nutzer oder die Frustration nach der ersten nichtssagenden Datenschutzerklärung.

Der Gesetzgeber hat die Informationspflichten als ein Grundstein der weiteren Rechte und Pflichten der DSGVO gedacht, denn nur wenn man weiß, was passiert, kann man selbstbestimmt handeln und seine Rechte wahrnehmen. Das Bundesverfassungsgericht trifft den Nagel auf den Kopf:

„Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden.“


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Datenschutz(v)erklärungen auf Streaming-Plattformen.

Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Die Niederländische Datenschutz-Aufsichtsbehörde „Autoriteit Persoonsgegevens“ hat das bis dato zweithöchste Bußgeld (innerhalb Hollands) seit Einführung der Datenschutz-Grundverordnung erlassen. Wie es zu dem 725.000€-Bußgeld kam und wie die Aufsichtsbehörde den Sachverhalt bewertet, lesen Sie hier.

Was ist vorgefallen?

Jedes Unternehmen macht sich sicherlich Gedanken, wie die Zutrittskontrolle innerhalb des Geländes oder des Gebäudes optimiert werden kann. Dies dachte sich ebenfalls ein holländisches Unternehmen und wollte die gängigen Zutrittskarten nicht mehr einsetzen und stattdessen die Fingerabdrücke der Mitarbeiter nutzen. Der Arbeitgeber hat mehrere Fingerabdruck-Scan-Stationen installieren lassen. Diese Stationen scannen den Fingerabdruck, berechnen daraus ein Template und speichern die Informationen in einer Software. Dadurch einsteht eine individuelle und einzigartige Verbindung zu einer Person – vergleichbar mit einer Mitarbeiter-ID.

Die Aufsichtsbehörde wurde durch einzelne Mitarbeiter aufmerksam gemacht und begann eine Untersuchung. Interne Dokumente des Unternehmens wiesen darauf hin, dass in der Regel vier Fingerabdrücke pro Person abgegeben wurden. Insgesamt fielen 337 Personen mit 1.348 einzigartigen Fingerabdrücken unter dieser Verarbeitung.

Was hat das Unternehmen falsch gemacht?

Im Fokus stehen die Fingerabdrücken der Mitarbeiter. Bei Fingerabdrücken handelt es sich um besondere personenbezogene Daten in Form von biometrischen Daten nach Art. 4 Nr. 14 DSGVO.

„[…]mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen[…]“

Treue Leser unseres Blogs können sich an dieser Stelle sicherlich schon die Problematiken des Falls ausmalen. Transparenz und Rechtmäßigkeit bilden die Grundlagen des Datenschutzes. Demnach sind nach Art.5 DSGVO die Grundsätze in jeder Verarbeitung von personenbezogenen Daten einzuhalten. Liegt dies nicht vor, kann stets von einer unrechtmäßigen Datenverarbeitung ausgegangen werden.

Transparenz

Bei der Untersuchung der Aufsichtsbehörde wurden einige Mitarbeiter befragt. Dabei kam heraus, dass die Systeme wohl sehr überraschend und unerwartet eingeführt wurden. Zudem erhielten die Mitarbeiter keine Informationen über den Verarbeitungsumfang. Dies lässt auf das Nichteinhalten von Art.13 DSGVO schließen. Die Transparenz ist insofern wichtig, dass der Betroffene das Bestehen und den Umfang einer Verarbeitung verstehen soll. Hierbei konnte die holländische Aufsichtsbehörde nachweisen, dass dem nicht ausreichend nachgekommen wurde und ebenfalls die Rechenschaftspflicht außer Acht gelassen wurde.

Rechtmäßigkeit

Datenschutzbeauftragten wird oftmals nachgesagt, dass sie gerne Prozesse definieren. Dies hätte jemand dem Unternehmen ebenfalls ans Herz legen sollen.

Eine Verarbeitung von besonderen personenbezogene Daten stellt i.d.R. einen größeren Aufwand für Verantwortliche dar, denn im Vergleich zu herkömmlichen personenbezogenen Daten sind diese schutzwürdiger. Daher ist eine Verarbeitung unmittelbar nach Art .9 Abs. 1 DSGVO untersagt. Davon ist abzusehen, wenn eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift.

Die Aufsichtsbehörde hat einige Mitarbeiter nach der notwendigen Rechtsgrundlagen befragt. Hierbei gab es unterschiedliche Aussagen. Ein Großteil der Mitarbeiter wurde mit einem Verweis auf den Arbeitsvertrag getröstet – einige haben wohl eine mündliche Einwilligung gegeben.

Freiwilligkeit

Soweit besondere personenbezogene Daten auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO in Form einer Einwilligung verarbeitet werden sollen, müssen die Anforderungen aus Art. 7 DSGVO erfüllt werden. Im Fokus steht hierbei die Freiwilligkeit der Einwilligung.

Die Freiwilligkeit wird im Erwägungsgrund 43 weiter erläutert. Demnach kann keine Freiwilligkeit vorliegen, soweit ein klares Ungleichgewicht besteht. Nach Auffassung der Autoriteit Persoonsgegevens liegt hierbei der Knackpunkt. Da ein klares Abhängigkeitsverhältnis besteht, können die Mitarbeiter in Anbetracht ihres Arbeitsverhältnisses nur unter sehr hohen Anforderungen eine freiwillige Einwilligung abgeben. Da das Unternehmen noch nicht mal eine Rechtsgrundlage für die Verarbeitung definiert und verwendet hatte und einzelne Mitarbeiter im Gespräch mit der Behörde nicht wussten, dass die Nutzung der Fingerabdruck-Scan-Stationen freiwillig ist und eine Nichtnutzung keine Nachteile nach sich zieht, war auch Art. 9 Abs. 2 lit. a DSGVO nicht einschlägig.

Was lernen wir daraus?

Achten Sie darauf, dass besondere personenbezogene Daten auch besonders behandelt werden sollten. Es ist sicherlich reizend die Digitalisierung in sein Unternehmen einfließen zu lassen, jedoch nicht um jeden Preis. Eine Abwägung sollte vor jeder neuen Implementierung solcher Systeme stattfinden. Wir empfehlen den Datenschutzbeauftragten frühestmöglich in den Prozess einzubinden, um solche Bußgelder zu vermeiden. Über die Anforderungen an ein biometrisches Authentifizierungssystem haben wir bereits berichtet.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken.

Europa vs. USA – Sind IP-Adressen personenbezogene Daten?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Europa vs. USA – Sind IP-Adressen personenbezogene Daten?

Europa vs. USA – Sind IP-Adressen personenbezogene Daten?

IP-Adressen sind personenbezogene Daten! Ganz klar – oder etwa nicht? Was in Europa Konsens sein dürfte, gilt noch lange nicht in den USA. Dort scheiden sich an diesem Begriff noch immer die Geister. Sein oder nicht sein, das ist hier die Frage. Wir haben uns einmal angeschaut, wie die Diskussion den Datenschutz beeinflusst.

Was sind IP-Adressen eigentlich?

Eine IP-Adresse ist eine Adresse in Computernetzwerken, welche auf dem Internetprotokoll (IP) basiert. Das Internetprotokoll selbst ist das mit Abstand gängigste Netzwerkprotokoll und stellt damit auch die Grundlage des Internets dar. IP-Adressen werden sämtlichen Geräten zugewiesen, welche mit einem Netzwerk, also z. B. dem Internet, verbunden sind. Mittels der IP-Adresse können Datenpakete versendet und einem eindeutigen Empfänger zugeordnet werden. In der analogen Welt wäre die Postadresse auf einem Briefumschlag das Gegenstück zur IP-Adresse.

IP-Adressen und Personenbezug

Die Frage, ob IP-Adressen personenbezogene Daten sind, ist so alt wie das Internet selbst. Im Jahr 2017 hatte der Bundesgerichtshof nach Vorlage an den EuGH entschieden, dass IP-Adressen personenbezogene Daten sind, da es (abstrakt) möglich sei, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen. Dies deckt sich im Wesentlichen mit den Vorgaben der DSGVO. Gemäß Art. 4 Nr. 1 sind personenbezogene Daten

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Da also stets Informationen über die IP-Adressen ausgetauscht werden, wenn Daten im Internet vom Absender zu ihrem Empfänger gesendet werden, erhebt also jeder Websitebetreiber permanent personenbezogene Daten, sobald der Nutzer eine Website aufruft. Das gilt sowohl für statische als auch für dynamische IP-Adressen.

Datenschutz in den USA

Das Datenschutzrecht in Europa gilt weltweit als führend. In den USA hingegen wurde der Schutz von personenbezogenen Daten sowie der Schutz der Privatsphäre des Einzelnen jahrelang eher stiefmütterlich behandelt. Facebook, Google & Co. lassen grüßen. In den USA existiert kein einheitliches Datenschutzrecht wie in Europa. Lediglich in einzelnen Gesetzen waren sporadische Regelungen zum Datenschutz zu finden. Seit dem 01.01.2020 ist nun aber der „California Consumer Privacy Act (CCPA)“ in Kraft getreten, welcher Verbrauchern im Bundesstaat Kalifornien erstmals ausdrücklich Rechte einräumt, welche vergleichbar mit den Vorgaben der Artt. 15 ff. DSGVO sind. Weitere Datenschutzgesetze in anderen Bundesstaaten sind geplant. In den USA scheint daher langsam ein Umdenken in Sachen Datenschutz einzusetzen.

Unterschiedliche Regelungen

Genauso wie es in den USA bislang keine einheitlichen Regeln zum Datenschutz gibt, so existiert auch keine allgemeine Definition zu dem Begriff der personenbezogenen Daten. Das hat zur Folge, dass einzelne Gesetze teilweise überhaupt keine Angaben machen, wie IP-Adressen zu behandeln sind. Die Frage, ob und inwiefern IP-Adressen personenbezogene Daten sind, war und ist in den USA  bereits seit Jahren Gegenstand einer hitzigen Debatte (ähnlich wie einst hierzulande).

Statische und dynamische IP-Adressen

Die Abgrenzung erfolgt dabei oft zwischen statischen und dynamischen IP-Adressen. Statische IP-Adressen kennzeichnen sich dadurch, dass sie nicht geändert werden, auch wenn die Verbindung zwischen Endgerät und Netzwerk getrennt wird. Bei jeder neuen Verbindung wird die gleiche IP-Adresse zugewiesen. Wohingegen IP-Adressen als dynamisch bezeichnet werden, wenn diese bei jeder Einwahl neu vergeben werden und somit nur für einen gewissen Zeitraum demselben Gerät zugeordnet sind.

Die (datenschutzrechtliche) Unterscheidung zwischen statischen und dynamischen IP-Adressen wurde vor allem damit begründet, dass es bei einer dynamischen IP-Adresse auf Grund der zeitlich begrenzten Zuweisung schwieriger sei, einen konkreten Personenbezug herzustellen. Daher wird die Ansicht vertreten, dass dynamische IP-Adressen keine personenbezogenen Daten sind. Der Umstand, dass es technisch schwieriger ist, den Personenbezug herzustellen, schließt aber nicht aus, dass man einen Personenbezug grundsätzlich herstellen kann. Diese Unterscheidung vermag daher nicht zu überzeugen. Dennoch hat auf diese Weise beispielsweise das US-Bundesgesetz „Children’s Online Privacy Protection Act“ (COPPA), welcher im Jahr 2013 in Kraft trat, IP-Adressen unterschiedlich eingestuft.

Was ist im CCPA geregelt?

Der CCPA hat sich hingegen stark an den Vorgaben der DSGVO orientiert und räumt seinen Adressaten umfangreiche Rechte zum Schutz der Privatsphäre ein. Dementsprechend geht auch der CCPA davon aus, dass IP-Adressen generell unter den Begriff der personenbezogenen Daten fallen. Der Weg dorthin war allerdings steinig. In den Gesetzesentwürfen für den CCPA wurde die Frage nach dem Personenbezug unterschiedlich beantwortet.

Die Einstufung als personenbezogenes Datum ist aus datenschutzrechtlicher Sicht zu begrüßen. Wenn man für IP-Adressen ganz oder teilweise den Personenbezug verneinen würde, wären datenschutzrechtliche Vorschriften diesbezüglich gar nicht anwendbar. Das würde das Schutzniveau für diese Art Daten drastisch senken. Darüber hinaus bestünde dann die Gefahr, dass derselbe Sachverhalt unterschiedlich bewertet werden könnte, je nachdem, welche Regelung man heranzieht.

Im Sinne der Einheitlichkeit

Es bleibt daher zu hoffen, dass sich in den USA auch bezüglich der rechtlichen Bewertung von IP-Adressen der Trend durchsetzt, diese einheitlich als personenbezogene Daten zu betrachten. Dies würde sicherlich die transatlantischen Beziehungen im Bereich des Datenschutzes vereinfachen und verbessern. Dass in den USA der generelle Wille vorhanden ist, hat sich in vergangenen Monaten schon gezeigt.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Europa vs. USA – Sind IP-Adressen personenbezogene Daten?.

Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Wenn im kommenden Halbjahr und besonders im nächsten Jahr die verschiedenen Veranstaltungen nachgeholt werden und man sich wieder angemessen präsentieren wird, denke man trotzdem und unbedingt an die Regeln für Datenschutz und Marketing. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?

Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?

Das Messejahr scheint dieses Jahr zwar nicht im gewohnten Umfang stattfinden zu können, trotzdem erreichen uns immer wieder Anfragen zu Themen wie Informationspflichten am Messestand, Kundenakquise und der Umgang mit Visitenkarten. Im Post-Coronazeitalter werden wieder viele Gewerbetreibende auf Messen strömen und dort um die Gunst neuer Kunden buhlen. Hierbei kommen Sie unausweichlich mit personenbezogenen Daten in Kontakt. Es folgt eine Übersicht was bei typischen Messeszenarien zu beachten ist.

Der überzeugte Kunde

Wir nehmen an, Sie sind Aussteller einer großen Automobilmesse. An ihrem Stand liegen verschiedene Kataloge und Infomaterialien zu ihren Flakschiffen Auto A, Auto B und Auto C aus.

Sie konnten einen Besucher ihres Standes aufgrund ihres Verkaufsgeschick von Auto A überzeugen. Kurzerhand entschließt er sich, dass Fahrzeug noch vor Ort zu erwerben. Sie zücken das Bestellformular für Neukunden und nehmen seine Daten auf. Irrelevant ist hierbei, ob Sie zum Erfassen ein good-old Papierformular oder eine digitale Variante einsetzen. Was gilt es nun zu beachten?

Es gilt: So viel wie nötig, so wenig wie möglich

Zunächst ist der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO zu beachten. Sie dürfen daher nur diejenigen personenbezogenen Daten abfragen, die Sie auch tatsächlich zur Abwicklung der Kundenbestellung benötigen. In der Regel dürfte der Name, die Lieferanschrift und eine Kontaktmöglichkeit ausreichend sein. Der ausgeübte Beruf? Der Familienstand? Es ist, wie so oft, eine Frage von Fall zu Fall. Sofern mit dem Autokauf etwa zeitgleich auch ein Finanzierungsdarlehen einhergeht, erweitert sich die zulässige Abfrage etwa auch auf Daten, die Rückschlüsse über die Bonität des Kunden geben können. Überlegen Sie stets, welche Daten sind tatsächlich zur Erbringung meiner vertraglichen Leistungen erforderlich?

Informationspflichten am Messestand

Nach Art.13 DSGVO muss ihr Kunde im Zeitpunkt der Erhebung seiner Daten alle diejenigen Informationen erhalten, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Durch das Dokument beantworten Sie als verantwortlicher Datenverarbeiter typische W-Fragen: Wer verarbeitet hier? Welche Zwecke verfolge ich dabei? Wer erhält die Daten noch? Wie lange werden sie gespeichert? Welche Rechte hat mein Kunde?

In unserem Beispiel bietet sich eine abgedruckte Erklärung an. Diese kann als Anhang dem Vertrag oder der Bestellbestätigung beigefügt werden und dem Kunden so dauerhaft zur Verfügung gestellt werden. In der Printversion sicherlich die rechtssicherste Variante. Nicht notwendig ist jedoch, dass der Kunde den Erhalt der Informationen mittels Unterschrift oder Checkbox bestätigt. Um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu genügen, ist vielmehr entscheidend, dass der gesamte Prozess so organisiert ist, dass jeder Kunde letztlich die Möglichkeit der Kenntnisnahme hat. Sofern die Daten digital erhoben werden und die Bestellbestätigung etwa per Mail an den Kunden verschickt wird, kann es zweckmäßig sein, die Erklärung zusätzlich als Anhang zu verschicken.

Rechtsgrundlage für die Verarbeitung

Die rechtliche Grundlage in diesem Fallbeispiel ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die bei Bestellung des Autos verarbeiteten Daten sind zur Vertragserfüllung notwendig. Eine explizite Einwilligung des Kunden bedarf es an dieser Stelle nicht.

Der zweifelnde Kunde

In diesem Fall konnten Sie trotz intensivster Bemühungen den Besucher vom Kauf eines ihrer Autos noch nicht vollends überzeugen. Er interessiert sich sowohl für Modell A, als auch für Modell B und wünscht weitere Informationen. Auch hierzu haben Sie ein Formular (print oder digital). Um dem Kunden die Kaufentscheidung zu erleichtern, bieten Sie ihm den Versand einer Hochglanzbroschüre per Post oder in digitaler Form per E-Mail an. Je nachdem welche Art der Besucher wählt, dürfen sie entsprechend Daten erheben. Zum Versand brauchen Sie zwingend die Anschrift, aber wohl nicht die Mailadresse. Sofern die Broschüre per Mail gewünscht ist, brauchen Sie nicht zwingend die Anschrift.

Berechtigte Interessen an der Verarbeitung?

Sollte es bereits zu konkreten Verkaufsgesprächen gekommen sein, halte ich hier ebenfalls Art. 6 Abs. 1 S. 1 lit. b DSGVO aufgrund der Vertragsanbahnung für vertretbar. Hier kann die Abgrenzung im Einzelfall jedoch schwierig sein. Jedenfalls haben Sie ein berechtigtes Interesse an der Verarbeitung der Daten ihres potenziellen Kunden gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Sie selbst haben ein wirtschaftliches Interesse an der Zusendung des Infomaterials, da Sie sich erhoffen, den Besucher überzeugen zu können und so einen Neukunden zu gewinnen. Die erforderliche Interessenabwägung dürfte in diesem Fall zu ihren Gunsten ausgehen. Die Anfrage, das gewünschte Infomaterial zu erhalten, ist vom Besucher selbst ausgegangen. Ihm ist bewusst und er kann absehen, dass seine Daten gerade zu diesem Zweck verwendet werden und erforderlich sind. Der Besucher hat mithin ein eigenes Interesse an der Verarbeitung seiner Daten zur Beantwortung seiner Broschürenanfrage.

Ein dauerhafter Messe-Lead?

Dürfen Sie die so gewonnen Daten nun dauerhaft nutzen? Nach Art. 5 Abs. 1 lit. b DSGVO gilt ein strenger Zweckbindungsgrundsatz. Sie dürfen personenbezogene Daten nur solange verarbeiten, wie auch der Erhebungszweck fortbesteht. Danach sind die Daten zu löschen. In diesem Fall wäre der Zweck nach der Zusendung des gewünschten Materials zu entfallen. An dieser Stelle begehrt die Marketingabteilung regelmäßig auf. Man habe doch noch weitere tolle Angebote und Informationen für potenzielle Kunden. Können wir die einmal erhobenen Daten nicht auch für weitere werbliche Maßnahmen nutzen?

Einwilligungserfordernis für Werbenewsletter

Zwar kann ein berechtigtes Interesse von Ihnen als Aussteller sein, die am Messestand gewonnen E-Mail oder Kontaktdaten auch weiterhin zu Werbezwecken zu verwenden. Neben der DSGVO müssen Sie jedoch beachten, dass nach § 7 UWG eine werbliche Ansprache per E-Mail grundsätzlich nur mit vorheriger ausdrücklicher Einwilligung des Besuchers möglich ist. Es gilt daher streng zu unterscheiden, zwischen der vom Kunden gewünschten Infos zu Auto A und Auto B und darüber hinaus gehender Werbemails etwa zu Auto C oder Zubehör XYZ.

Wollen Sie dem Besucher also im Nachgang zur Messe über seine konkreten Broschürenwunsch hinaus weiterführende Werbung wie z.B. den Unternehmens-Newsletter per Email zusenden, sollten Sie sich hierfür zuvor eine Einwilligungserklärung einholen. Das kann mittels Checkbox auf dem Formular oder in einer Digitalversion erfolgen.

Double Opt-In und Protokollierung beachten

Durch das Double-Opt-In-Verfahren stellen Sie sicher, dass nur diejenigen E-Mail-Adressen beworben werden deren Inhaber dies auch wünschen. Nur wenn der Inhaber der Mailadresse eine Bestätigungsmail erhält und den darin enthaltenen Aktivierungslink klickt, haben Sie einen Nachweis über seine Einwilligung. Achten Sie darauf, dass die Bestätigungsmail keine werblichen Inhalte enthalten. Ein Firmenlogo oder Impressum, welches die Seriosität ihres Anliegens verdeutlicht, ist zulässig.

Der Großkunde

An ihrem Stand erscheint ein Unternehmer aus dem Taxigewerbe. Zunächst Interessiert er sich für die aktuell angebotene Flotte. Er möchte aber auch künftig informiert bleiben – benötigt er doch regelmäßig Fahrzeuge in hoher Stückzahl. Er überreicht Ihnen seine Visitenkarte. Man möge doch bitte in Kontakt bleiben.

Informationspflichten adäquat erfüllen

Sofern Sie jetzt die Visitenkartendaten in ihr CRM-System übertragen wollen, bestehen erneut die Informationspflichten aus Art. 13 DSGVO. Nun wird kaum ein Besucher Lust dazu haben, von jedem Stand an dem er seine Visitenkarte hinterlässt, im Austausch eine ausgedruckte Erklärung in die Hand gedrückt zu bekommen. Diese Pflicht können Sie daher durch Informationsschilder oder ausgelegten Flyern nachkommen. Gerade bei B2B-Kontakten wird man in der Regel davon ausgehen dürfen, dass der Besucher mit einer Verarbeitung der Kontaktdaten nach der Messe rechnet und dies sogar erwünscht ist. Sollte die Kartenübergabe mit einer konkreten Anfrage zu Produkten oder dem Erhalt von Informationen verbunden ist, erscheint es zudem zweckmäßig bei erstmaliger Kontaktaufnahme auf den Umgang mit Kundendaten hinzuweisen. Dies kann dann entweder per Link auf die Erklärung oder als Mailanhang erfolgen. Aber Achtung: Für weiterführende Werbemails über ein konkretes Angebot oder Anfrage hinaus gilt auch für Geschäftskunden das strenge Einwilligungserfordernis.

Pragmatische Lösungen sind gefragt

Grundsätzlich hat die Datenschutz-Grundverordnung bei der praktikablen Erfüllung von Informationspflichten strukturelle Schwächen. Denken Sie zum Beispiel an die Warenbestellung per Telefon. Ein Vorlesen der Informationspflichten vor Aufnahme der Kontaktdaten wäre unzumutbar. Die Information über Transparenz und Fairness der Verarbeitung müssen hier auf die gegebenen Umstände des Geschäftslebens angepasst werden, ohne ihre Sinnhaftigkeit zu verlieren. Im Zweifel hilft Ihnen ihr Datenschutzbeauftragter bei einer praxisgerechten Umsetzung sicher gerne weiter.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?.

BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber

Liebe Leser! Regeln Sie die private Nutzung von betrieblicher IT-Ausstattung, Smartphone und Laptop & Co. gemeinsam mit Ihren Mitarbeitern. Die grundsätzliche Regelung, Dienst ist Dienst und Schnaps ist Schnaps gilt weiterhin.

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber

BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber

Das Bundesarbeitsgericht (BAG) hat Ende Januar erneut festgestellt, dass der Arbeitgeber auf Dateien des auch privat genutzten Arbeitsrechners zugreifen kann, wenn diese nicht als „privat“ gekennzeichnet wurden. Zudem kann der Arbeitgeber hierauf auch seine Kündigung stützen. Was heißt das für den Datenschutz des Arbeitnehmers?

Überprüfung von Arbeitsmitteln durch den Arbeitsgeber

Zunächst stellt sich die Frage, ob der Arbeitgeber überhaupt auf den Arbeitsrechner seines Arbeitnehmers zugreifen darf. Nach mittlerweile gefestigter Rechtsprechung des BAG, darf der Arbeitgeber jedenfalls Erkenntnisse oder Beweismittel aus der Verwertung von Dateien-Inhalten eines Arbeitsrechners verwenden, wenn er diese im Einklang mit datenschutzrechtlichen Vorschriften erlangt hat (BAG 23. August 2018 – 2 AZR 133/18 – Rn. 14 ff.).

Aktueller BAG-Fall

Im konkreten Fall befanden die Richter aus Erfurt im Sinne des Beklagten (Arbeitgeber), der auf Grund eines Verdachtsfalles (Hinweis für die Spitzfindigen: nicht aber auf Tatsachen beruhenden Anfangsverdacht) den auch privat genutzten Arbeitsrechner seines Arbeitnehmers durchsuchte und eine darauf gegründete Kündigung aussprach. Die BAG-Richter ließen für die Kündigung einen begründeten Verdacht einer Pflichtverletzung ausreichen.

Entscheidende Norm: § 26 BDSG

Einschlägige datenschutzrechtliche Norm zur Bewertung der Zulässigkeit der Maßnahme ist § 26 Abs. 1 S. 1 BDSG (im Fall der inhaltsgleiche § 32 BDSG aF). Nach dieser Bestimmung dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses unter anderem dann erhoben, verarbeitet oder genutzt werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist. Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses (so auch die Vorbereitung einer Kündigung – BAG 23. August 2018 – 2 AZR 133/18 – Rn. 22).

„§ 32 Abs. 1 Satz 2 BDSG aF entfaltet keine „Sperrwirkung“ dergestalt, dass eine anlassbezogene Datenerhebung durch den Arbeitgeber ausschließlich zur Aufdeckung von Straftaten zulässig wäre und sie nicht nach § 32 Abs. 1 Satz 1 BDSG aF zulässig sein könnte (BAG 27. Juli 2017 – 2 AZR 681/16 – Rn. 30, BAGE 159, 380; ausführlich BAG 29. Juni 2017 – 2 AZR 597/16 – Rn. 28 ff., BAGE 159, 278). Allerdings muss die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten auch nach § 32 Abs. 1 Satz 1 BDSG aF „erforderlich“ sein. Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen.“

Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten muss geeignet, erforderlich und unter Berücksichtigung der Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen. Es dürfen keine anderen, zur Zielerreichung gleich wirksamen und das Persönlichkeitsrecht der Arbeitnehmer weniger einschränkenden Mittel zur Verfügung stehen.

Im Rahmen der Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist zu beachten, dass die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht. Die Datenerhebung, -verarbeitung oder -nutzung darf keine übermäßige Belastung für den Arbeitnehmer darstellen und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen. Dies ist für jedes personenbezogene Datum gesondert zu beurteilen (BAG 23. August 2018 – 2 AZR 133/18 – Rn. 24).

Folgen für die Praxis

Der Arbeitgeber hat folglich eine Verhältnismäßigkeitsprüfung vorzunehmen, bevor er den Arbeitsrechner auswertet, die die Rechte seines Arbeitsnehmers entsprechend würdigt.

Datenschutzrechtlich brisant ist, dass das BAG klargestellt hat, dass der Arbeitgeber grundsätzlich auf alle Dateien auf dem Arbeitsrechner zugreifen kann, insofern der Arbeitnehmer diese nicht als explizit „privat“ kennzeichnet. Es liegt folglich in der Sphäre des Arbeitnehmers Dateien auf dem Arbeitsrechner deutlich mit der Kennzeichnung „privat“ zu versehen, wenn er sich vor der Überprüfung schützen möchte. Selbstverständlich ist auch dieser Schutz begrenzt z. B. beim Verdacht einer schweren Verfehlung. Es bleibt somit die in diesem Kontext wiederholende Frage, warum überhaupt private Dateien auf dem Arbeitsrechner speichern?


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber.

EDSA: Neue Leitlinien zur Cookie-Einwilligung auf Webseiten

Liebe Leser! Werbung ist Werbung ist Werbung. Die Weitergabe der Daten des Besuchers Ihrer Webseite an ein datenfinanziertes Netzwerk ist und bleibt weiterhin Werbung. In diese muss eingewilligt werden – sprich, checken Sie die Funktionsweise und die Konformität Ihrer Webseite. Jetzt!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: EDSA: Neue Leitlinien zur Cookie-Einwilligung auf Webseiten

EDSA: Neue Leitlinien zur Cookie-Einwilligung auf Webseiten

Der Europäische Datenschutzausschuss aktualisiert seine Leitlinien zur Einwilligung in die Nutzung von Internetseiten. Ein Versuch, die Politik der Zustimmung zu Cookies zu korrigieren?

Klarstellungen zu Cookie-Walls und Scrolling

Der Europäische Datenschutzausschuss (EDSA) hat am 5. Mai die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert.

Das EDSA stellt im Vorwort fest, dass mit dieser Aktualisierung insbesondere zu zwei Phänomenen rechtliche Klarstellungen gegeben werden sollen:

  • Die Gültigkeit der Einwilligung, die von der betroffenen Person bei der Interaktion mit sogenannten „Cookie-Walls“ gegeben wird.
  • Die vermeintliche Einwilligung durch Scrollen auf einer Website.

Die Änderungen zur ursprünglichen Leitlinie betreffen damit im Wesentlichen die Ausführungen der Leitlinie unter Randnummer 38 – 41 zum Oberbegriff „Freiwilligkeit“ und Randnummer 86 zu dem Thema „Eindeutige Angabe von Wünschen“.

Kraut und Rüben im Internet

Mittlerweile dürfte auch unaufmerksamen Internetnutzern auffallen, dass die früher üblichen, schmalen Cookie-Hinweise auf Webseiten, die sich meistens mit einem „Ok“ wegklicken ließen, nach und nach den sog. „Cookie-Consent-Bannern“ weichen. Dieser Paradigmenwechsel dürfte insbesondere der Auslegung der DSGVO durch die Aufsichtsbehörden (wir berichteten) und der EuGH-Rechtsprechung (Planet49-Urteil) geschuldet sein, wonach typischerweise für Nutzertracking kein Opt-Opt ausreichend sein wird, wie etwa noch aus § 15 Abs.3 TMG bekannt.

Was seit Einführung der DSGVO ebenfalls auffiel ist, dass die Cookie-Banner-Landschaft im Internet im Wesentlichen Kraut und Rüben ist. Es gibt viele windige Gestaltungen, die es dem Nutzer denkbar schwer machen, seine Einwilligung zu verweigern, da für viele Webseitenbetreiber und Netzwerke das Tracking ihrer Nutzer Gold wert ist.

Einstellungen speichern statt Nein

Eine häufige anzutreffende Form eines solchen problematischen Cookie-Banners ist etwa die Frage an den Nutzer, ob er mit Tracking zur „Verbesserung der Nutzererfahrung“ einverstanden ist, garniert mit einem „Ja“-Button und keinem „Nein / Ablehnen“-Button. Stattdessen wird der widerwillige Nutzer nur einen Button zu „Einstellungen“ anklicken können, hinter dem sich umfangreiche Texte – die ihn häufig nicht interessieren werden – und Checkboxen verbergen. Dort wird er dann regelmäßig ganz unten am Fuße der Einstellungsmöglichkeiten, nach allen möglichen Tracking-Tools oder Tracking-Kategorien, die Möglichkeit haben seine „Einstellungen zu speichern“, die er regelmäßig weder selbst getroffen hat, noch mit denen er sich inhaltlich auseinandersetzen möchte.

Wie eine solche Gestaltung mit der Vorgabe aus Art. 7 Abs.3 S.3 DSGVO vereinbar sein soll, wonach gilt…

„Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“

…wird niemand erklären können.

Korrektur der bisherigen Politik?

Beim Durchlesen der EDSA-Leitlinie wird schnell deutlich, dass diese weniger eine Korrektur der bisherigen Cookie-Politik aufgrund der DSGVO zu verstehen ist, die dazu geführt hat, dass Internet-Nutzer sich immer häufiger mit mehrdeutigen, unverständlichen, verwirrenden oder schlicht nervigen Cookie-Bannern konfrontiert sehen, wie der beschriebenen Variante mit dem „Einstellungen speichern“ anstelle eines „Ablehnen“. Die Leitlinie ist vielmehr eine Zusammenfassung und Klarstellung von schon bekannten Selbstverständlichkeiten, an die sich viele Webseitenbetreiber nicht halten.

Die veröffentlichte Leitlinie ist daher als das Bemühen anzusehen, Klarheit in die Gestaltung von Cookie-Bannern zu bringen und besonders fantasievollen Umgehungen der DSGVO-Vorgaben einen Riegel vorzuschieben. Die im Leitfaden im Besonderen adressierten sog. „Cookie-Walls“ und „Einwilligungen durch Nutzung / Scrolling“ stellen dabei lediglich zwei häufig anzutreffende Ausgestaltungen dar, bei denen Website-Betreiber eine vermeintliche „Einwilligung“ des Nutzers einholen, um das Nutzertracking zu „rechtfertigen“. So verwundert es letztlich nicht, dass die Leitlinien des EDSA kaum inhaltliche Neuerungen enthalten.

Dies kommt schon durch die Äußerung des Bundesdatenschutzbeauftragten Prof. Ulrich Kelber zum Ausdruck, der über die neuen Leitlinien äußerte:

„Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können.“

Nieder mit den „Cookie-Walls“

Die größte Änderung zum alten Leitfaden ist die explizite Feststellung, dass durch „Cookie-Walls“ regelmäßig keine wirksamen Einwilligungen eingeholt werden kann. Als Cookie-Walls werden solche Cookie-Banner bezeichnet, die das Betrachten von Inhalten von der Zustimmung abhängig machen, dass der Nutzer nachverfolgt werden kann. Der EDSA stellt fest, dass der Zugang zu einem Web-Service nicht von der Erlaubnis in das Setzen von sogenannten Cookies abhängig gemacht werden darf.

Wenig überraschend fehlt es hier an der Freiwilligkeit einer solchen Einwilligung. Erwägungsgrund 43 der DSGVO lässt grüßen.

Die bei Publikationsmedien wie spiegel.de, zeit.de oder washingtonpost.com mittlerweile häufiger anzutreffende Praxis, dem Leser bei Aufruf der Website einen ganzseitigen Banner vor die Nase zu setzen, mit der Option, das Tracking entweder zu akzeptieren („Weiterlesen mit Werbung“) oder ein Abo abzuschließen, dürfte nun vermehrt auf den Prüfstand kommen.

Keine konkludenten Einwilligungen durch Scrolling

Zur vermeintlichen Einwilligung durch Nutzung der Website oder Scrolling, wie sie sich häufig in älteren Cookie-Hinweisen findet, stellt das EDSA in knappen Worten fest:

„Handlungen wie das Scrollen oder Streichen durch eine Webseite oder ähnliche Benutzeraktivitäten erfüllen unter keinen Umständen das Erfordernis einer eindeutigen und bestätigenden Handlung.“

Auch dies ist eigentlich eine Selbstverständlichkeit, die aus Erwägungsgrund 32 der DSGVO bekannt sein dürfte („Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen…“).

Altbekanntes zur Einwilligung

Daneben findet sich in den Leitlinien fiel altbekanntes. Die EDSA erläutert auf knapp 30 Seiten, welche Voraussetzungen an eine wirksame Cookie-Einwilligung bestehen. Die Voraussetzungen für eine wirksame Einwilligung lassen sich stichpunktartig wie folgt zusammenfassen:

  • freiwillig
  • spezifisch
  • informiert
  • eindeutige Angabe von Wünschen
  • Nachweisbarkeit & Widerruflichkeit

Diese Voraussetzungen für eine wirksame Einwilligung wurden – zumindest in ähnlicher Form – schon in der Vergangenheit durch die Aufsichtsbehörden aufgegriffen, wir berichteten.

Vollzugsdefizite bei Webseiten

Ob die überarbeitete Leitlinie der EDSA zu mehr rechtskonformen Einwilligungen im Internet führt, wird sich erst zeigen müssen. Die derzeitige Situation, wonach viele Cookie-Consent-Banner rechtswidrig sind, trotz der vergleichsweise eindeutigen gesetzlichen Vorgaben und Hinweisen der Behörden zur Ausgestaltung von Einwilligungen, rührt sicherlich daher, dass viele Website-Betreiber nicht willens sind, eine datenschutzkonforme Einwilligung einzuholen.

Hier scheint sich der alte Spruch zu bewahrheiten:

„Du kannst niemandem etwas beibringen, wenn sein Lohn davon abhängt, es nicht zu verstehen.“

Weil eine ordentliche Umsetzung (einfache Möglichkeit mit einem Klick das Tracking vollständig abzulehnen) die Nachverfolgung für Marketingzwecke und damit potentielle Gewinneinbußen zur Folge hat, wird es häufig so gut es geht vermieden. Die Vielzahl datenschutzwidriger Cookie-Consent-Banner mag noch einen anderen Grund haben: Das immer offenkundiger werdende Vollzugsdefizit durch die Aufsichtsbehörden.

Dass sich die deutschen Aufsichtsbehörden jedoch an den Leitlinien orientieren werden, kann zumindest schon zum jetzigen Zeitpunkt als gesetzt gelten.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber begrüßt die Leitlinie. Da es sich bei dem EDSA um das Nachfolgegremium eines europäischen Beratungsgremiums für den Schutz personenbezogener Daten und der Privatsphäre (sog. Artikel-29-Gruppe) handelt, dienen die Leitlinien und Empfehlungen des EDSA der Koordination der Rechtsauffassungen unter den europäischen Aufsichtsbehörden und werden von diesen als für sie verbindlich betrachtet.

Näheres zu der Beziehung zwischen den Aufsichtsbehörden und dem EDSA findet sich im 37. Tätigkeitsbericht des ULD Schleswig-Holstein (ab Seite 19).


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: EDSA: Neue Leitlinien zur Cookie-Einwilligung auf Webseiten.

Der reinste Datenschutz-Horror: Sekte sammelt Politikerdaten

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Der reinste Datenschutz-Horror: Sekte sammelt Politikerdaten

Der reinste Datenschutz-Horror: Sekte sammelt Politikerdaten

Auch wenn Corona die (Datenschutz-)Welt aktuell in Atem hält, ist es an der Zeit, den Fokus einmal auf nicht virenbedingte Meldungen zu richten – diese sind ebenso gruselig, versprochen! Datenschutzrechtlich sorgt derzeit eine christliche Sekte für Gänsehautgarantie: Sie führt eine Liste, in welche Politiker, Journalisten und Kritiker anhand teils äußerst sensibler Daten als Freund oder Feind eingeordnet werden. Ohne DSGVO und Co. steht uns eine finstere Zukunft bevor.

Freund oder Feind?

Diese Frage ist es, welche die Schweizer Sekte „Organische Christus Generation“ (OCG) mit Hilfe ihrer Liste klären möchte. Bereits im Januar berichtete der Bayerische Rundfunk, dass die Anhänger der Sekte dazu aufgefordert wurden, Daten zu sammeln. Anscheinend war man fleißig: Der Datensatz umfasst laut BR-Recherchen 8.200 Einträge – also tausende von Menschen, die als sektenfreundlich oder sektenfeindlich eingeordnet werden. Betroffen sind Politikerinnen und Politiker aus dem gesamten deutschsprachigen Raum, aus allen Parteien, Landesparlamenten sowie dem Bundestag, aber auch Beamte und Journalisten.

In der Liste verzeichnet sind beispielsweise rund 200 derzeitige und ehemalige Mitglieder des Bayerischen Landtags, aber auch Verteidigungsministerin Annegret Kramp-Karrenbauer (CDU), der österreichische Bundeskanzler Sebastian Kurz (ÖVP) und der saarländische Ministerpräsident Tobias Hans (CDU).

Was ist nun an Politikern und Journalisten so spannend, dass es aus Sicht der Sekte in einer Liste erfasst werden muss? Zum einen interessiert sich die OCG für öffentlich zugängliche Daten. Doch sie speichert auch sensible Daten wie private Wohnadressen, private Handynummern, die Religionszugehörigkeit und die sexuelle Orientierung.

Und, habe ich zu viel versprochen? Sicher nicht, die Existenz so einer Liste ruft Erinnerungen an ganz dunkle Zeiten hervor…

Datenkrake mit Wissensdurst

Datenhungrig sind nicht nur Facebook, Google und Co.: Kleinere Organisationen können ebenfalls zur Datenkrake mutieren, wenn auch in geringeren Ausmaßen. Dabei werden verschiedenste, häufig sensible personenbezogene Daten gesammelt – Rechtsgrundlage? Fehlanzeige!

Wer im Rampenlicht steht…

… muss sich einiges gefallen lassen, so viel ist klar. Aber gilt das auch datenschutzrechtlich?

Zunächst einmal sind Prominente auch nur Menschen, sodass ihnen das Recht auf informationelle Selbstbestimmung zusteht, welches wie das Recht auf Privatsphäre aus dem Allgemeinen Persönlichkeitsrecht gemäß Art. 1 Abs. 1 i. V. m. 2 Abs. 1 GG abgeleitet wird. Dabei ist stets zwischen dem Sensibilitätsgrad der personenbezogenen Daten zu differenzieren: Öffentlich zugängliche Daten, wie Name oder beispielsweise berufliche Qualifikation der Berühmtheiten sind weniger sensibel als private Adressen, Religion und sexuelle Orientierung. Die Verarbeitung weniger sensibler personenbezogener Daten – die nichtsdestotrotz einen Eingriff in das Recht auf informationelle Selbstbestimmung darstellt – ist leichter zu rechtfertigen.

Im vorliegenden Fall kann man aber noch nicht einmal das Speichern der öffentlich zugänglichen Daten auf eine Rechtsgrundlage stützen. Art. 6 Abs. 1 S. 1 lit. f DSGVO setzt folgendes voraus:

„… die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“

Was soll das berechtigte Interesse der Sekte sein, die öffentlich zugänglichen Daten in eine Liste zu packen? Bessere Sektenarbeit anhand der Einteilung in Freund oder Feind? Sektenführer Ivo Sasek gab infolge einer Anfrage des BR-Politikmagazins Kontrovers an, die Datensammlung diene der Weiterbildung der OCG-Mitglieder um herauszufinden, welcher Art und Gesinnung unsere Volksvertreter seien. Irre!

Ja, öffentlich zugängliche Daten sind nicht besonders sensibel. Dies ist im Rahmen der Abwägung mit den Rechten der betroffenen Personen zu berücksichtigen – aber zum einen kommt man schon gar nicht zu diesem Prüfungspunkt, wenn das berechtigte Interesse verneint wird und zum anderen überwiegen die Rechte der Betroffenen, nicht als Feind in einer Sektenliste geführt zu werden!

Äußerst sensible Daten

Aus diesem Grund scheitert Art. 6 Abs. 1 S. 1 lit. f DSGVO unabhängig davon, ob man ein berechtigtes Interesse bejaht oder nicht, spätestens im Rahmen der Abwägung. Wenn dies schon für öffentlich zugängliche Daten gilt, dann erst recht für sensible Daten wie private Anschrift und Handynummer, sowie für Daten, die zu den besonderen Kategorien personenbezogener Daten zählen. Die Verarbeitung letztgenannter Daten ist nur nach Überwindung hoher Hürden möglich, weshalb Art. 9 Abs. 1 DSGVO auch grundsätzlich festlegt:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Sofern die betroffenen Personen ihre Religionszugehörigkeit oder sexuelle Orientierung, die in der Liste erfasst wurden, zuvor offensichtlich öffentlich gemacht hätten, wäre die Verarbeitung aufgrund fehlender besonderer Schutzwürdigkeit nicht untersagt, Art. 9 Abs. 2 lit. e DSGVO. Bei manchen Betroffenen könnten die Daten zwar online zu finden gewesen sein, Art. 6 Abs. 1 S. 1 lit. f DSGVO wäre jedoch auch dann nicht erfüllt, sodass weiterhin keine Rechtsgrundlage besteht.

Anwendbarkeit der DSGVO

Wer sich nun fragt, wie es sein kann, dass die DSGVO auf eine Schweizer Sekte anwendbar ist, der beachte, dass die OCG den sekteneigenen Websender „Klagemauer TV“ auch von einem Produktionsort in Deutschland aus betreibt. Dies dürfte ausreichen, um Art. 3 Abs. 1 DSGVO zu bejahen, der für die Anwendbarkeit der DSGVO eine Niederlassung des Verantwortlichen in der EU verlangt. Eine Niederlassung aus DSGVO-Sicht liegt bereits dann vor, wenn es eine feste Einrichtung gibt, die der effektiven und tatsächlichen Ausübung einer Tätigkeit dient.

Doch selbst nach dem Schweizer Datenschutzgesetz dürfte das Sammeln sensibler Daten nicht mehr von Art. 13 Abs. 2 lit. f DSG umfasst sein, da sich die gespeicherten Daten nicht auf das Wirken der Person des öffentlichen Lebens in der Öffentlichkeit beziehen.

Aus der Geschichte nichts gelernt

Die Liste umfasst nicht nur Politiker, Journalisten und Beamte, sondern auch Menschen, die sich in der Vergangenheit kritisch über die Sekte geäußert haben. Zusätzlich finden sich darin mehrere Vorsitzende jüdischer Einrichtungen. Teilweise wurde auch eine „jüdische Herkunft“ vermerkt. Die Sekte zeigt offen Antisemitismus – so bot der Sektengründer einer Holocaust-Leugnerin eine Bühne und vermittelte via „Klagemauer TV“, die Juden hätten Deutschland 1933 den Krieg erklärt. Unfassbar!

Der Wahnsinn hat Methode

Die OCG versucht zu beschwichtigen. Die Liste diene nur dem internen Gebrauch, außerdem sei Ivo Sasek voller Liebe zu allen Menschen. Sekten-Blabla eben. Gleichzeitig sieht sich die OCG in einer Art Krieg gegen die ihrer Ansicht nach „dominante Elite“, die gestürzt werden müsse.

Die Freund-oder-Feind-Liste ist daher als Symptom fortschreitender Stimmungsmache zu bewerten – dazu passen auch die diversen Verschwörungstheorien, die die Sekte über Onlineplattformen verbreitet. Die behandelten Themen dürften das Conspiracy-Herz höherschlagen lassen: Impfungen, Corona und 5G werden heiß diskutiert.

Dass eine solche Organisation Gesinnungslisten von prominenten Personen mit teils sensiblen Daten führt, ist nicht nur bedenklich, sondern katastrophal. Die Risiken solcher Listen bewertet Professor Andreas Zick, Leiter des Instituts für interdisziplinäre Konflikt- und Gewaltforschung an der Universität Bielefeld, folgendermaßen:

„Wir wissen aus der Vergangenheit, aus der hohen Zahl der Hasstaten gegen Amts- und Würdenträger: Sie kursierten vorher mit den Privatadressen auf Listen. Insofern ist das eine hohe Gefahr.“

Stellt sich die Frage, wie nun gegen die Sekte vorgegangen wird. Tja… angesichts der angeblich christlichen Orientierung der Sekte wohl mit Samthandschuhen. Religionsfreiheit lässt grüßen. Die Bayerische Staatsregierung plant, die Aktivitäten der Sekte näher zu beleuchten. Währenddessen prüft die Generalstaatsanwaltschaft München im Rahmen eines Vorermittlungsverfahrens, ob zureichende tatsächliche Anhaltspunkte für eine Volksverhetzung, also ein Anfangsverdacht einer Straftat, vorliegt. Erst wenn sich dieser herausstellt, müssen Ermittlungen eingeleitet werden, § 152 Abs. 2 StPO. Die Sekte dürfte das nur wenig kümmern.

Gefahren lauern überall

Wer weiß, wie viele solcher Listen noch kursieren? Auch Rechts- und Linksextreme sowie Islamisten führen derartige Verzeichnisse. Nicht nur für Datenschützer ist das eine Horrorvorstellung. Längst vergangene Zeiten dürfen sich nicht wiederholen – werden personenbezogene Daten von Politikern, Journalisten, Kritikern und allen anderen Betroffenen nicht geschützt, öffnet dies einer finsteren Zukunft Tür und Tor.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Der reinste Datenschutz-Horror: Sekte sammelt Politikerdaten.